Investigadores de ESET han desvelado una operación de ciberespionaje que utiliza vulnerabilidades de scripting entre sitios (XSS), incluyendo un fallo de día cero en el software de correo web MDaemon, para robar información confidencial de cuentas de correo electrónico de funcionarios de diversas organizaciones gubernamentales en Ucrania y contratistas de defensa en la Unión Europea y otros continentes.
Denominada «Operación RoundPress», esta actividad maliciosa es presumiblemente obra del grupo de amenazas avanzadas persistentes (APT) Sednit, alineado con Rusia. Inicialmente, los atacantes dirigieron sus esfuerzos hacia Roundcube, pero luego ampliaron su enfoque a otros softwares de correo web como Horde, MDaemon y Zimbra. En algunas situaciones, lograron eludir incluso la autenticación de dos factores (2FA).
La operación destaca por su sofisticación, ya que los atacantes demostraron ser capaces de vulnerar medidas de seguridad consideradas robustas. Para profundizar en las tácticas, técnicas y procedimientos utilizados por esta operación, ESET cuenta con una explicación detallada de su evangelista de seguridad, Tony Anscombe, quien ofrece un análisis en un video informativo y un análisis completo en su portal.
La creciente amenaza de este tipo de ciberataques plantea interrogantes serios sobre la seguridad de las comunicaciones digitales en áreas sensibles y críticas, como la defensa y la política internacional. Las autoridades y las entidades afectadas están bajo presión para mejorar sus medidas de ciberseguridad frente a estas nuevas formas de espionaje digital.
Fuente: WeLiveSecurity by eSet.
